|
编者按 Windows7和Windows10系统中,在2个NTFS卷之间进行复制粘贴操作对“被复制的文件”和“粘贴操作中创建的新文件”的时间戳有什么影响? 本文作者:David Cowen,翻译:王中杰(最高人民检察院司法鉴定中心) 译者注:本文是David Cowen在其博客中举办的每周挑战中,一周最佳答案,值得一读。 大家好,我收到了多个符合挑战的回答,这些回答都完成了基本挑战内容,这意味着本文中的回答是最完善的回答。 Sandor Tokesi第一次参加挑战就获得了胜利,因为他的回答中不仅对Windows7和Windows10进行了测试,同时使用了多种复制方法并对Standard Information和Filename时间戳都进行了记录。Sandor,干的漂亮!明天(18年11月4日)将会有一个新的挑战等着你们。 挑战内容: Windows7和Windows10系统中,在2个NTFS卷之间进行复制粘贴操作对“被复制的文件”和“粘贴操作中创建的新文件”的时间戳有什么影响? 最佳回答: **Win7、Win10中复制命令造成的时间戳变化** 我记录了Windows中进行复制操作时,原文件和新文件的MACB时间戳变化,记录了不同的复制方式(利用图形界面进行复制和利用命令行进行复制)之间的不同,也测试了在同一卷中进行复制和在不同卷中进行复制的情况。 软件工具 · Microsoft Windows 10 64-bit v10.0.17134.345 · Microsoft Windows 7 Enterprise SP1 · FTK Imager 4.2 - 创建镜像文件和保存MFT文件 · analyzeMFT.py - MFT文件解析 MACB时间戳: NTFS卷中的文件会记录8个不同的时间戳,这些时间戳包括了 · Modified(修改时间) · Accessed(访问时间) · Changed (Info Entry修改时间) · Birth(创建时间) 上述4种时间戳存储与$STANDARD_INFO和$FILE_NAME之中。 $STANDARD_INFO和$FILE_NAME的不同: · $STANDARD_INFO: 能够被用户级进程修改,有可能被反取证工具影响。 · $FILE_NAME: 只能被系统内核修改,没有已知的反取证工具能修改它。 译者注:通常我们所说的时间戳MAC为:Modified(修改时间)、Accessed(访问时间)、Created(创建时间),还有一个时间戳在不同的取证软件中有不同的命名,在Encase中为Entry Modified,在X-ways Forensics为Record Changed(记录修改时间),他们指的都是该文件对应的MFT记录最后修改的时间。在这里我将按照答题者Sandor的写法进行翻译。 研究方法 1. 在NTFS卷中建立2个文件 2.一个文件使用图形界面、另一个文件使用命令行,复制到一个不同的目录 3.在NTFS卷中建立2个文件,进行跨卷复制测试 4.一个文件使用图形界面、另一个文件使用命令行,复制到一个不同的卷 每步操作后对变化的卷进行镜像,最终每种操作系统有5个不同的镜像文件。我提取了这些镜像文件中的$MFT文件,并使用analyzeMFT.py进行解析,提取所需的时间戳。 下面是我测试的结果(蓝色是不同的,绿色是未改变的)。 |
|
|
